ทักษะ 'ไซเบอร์ ซิเคียวริตี้' ขาดแคลน เพราะผู้เชี่ยวชาญหมดไฟ
ความท้าทายที่ใหญ่ที่สุดที่ต้องเผชิญสำหรับอุตสาหกรรมความปลอดภัยทางไซเบอร์ในขณะนี้ก็คือ การขาดแคลนผู้เชี่ยวชาญที่มีทักษะ
ปัจจุบันประเด็นปัญหาเกี่ยวกับช่องว่างด้าน "ทักษะทางไซเบอร์ซิเคียวริตี้" เป็นที่ถกเถียงไปทั่วโลก และองค์กรต่างๆ มีผู้สมัครที่มีคุณสมบัติไม่เพียงพอที่จะลงในตำแหน่งที่ว่างอยู่
จากการประมาณการพบว่า มีตำแหน่งงานด้านการรักษาความปลอดภัยทางไซเบอร์ที่ยังขาดแคลนอยู่หลายล้านตำแหน่งทั่วโลกอย่างไรก็ตาม สาเหตุหลักของปัญหาไม่ได้อยู่ที่ความพร้อมของผู้สมัคร แต่เป็นความสามารถในการรักษาพนักงานที่มีทักษะและประสบการณ์ไว้กับองค์กรให้ได้
มหาวิทยาลัยหลายแห่งเริ่มเปิดสอนหลักสูตรการรักษาความปลอดภัยทางไซเบอร์และ online learning โปรแกรมยังคงทำให้พื้นฐานการรักษาความปลอดภัยทางไซเบอร์เข้าถึงได้ง่ายขึ้นกว่าแต่ก่อน
แต่ท้ายที่สุดแล้ว ไม่มีการรับรองหรือ e-learning ใดๆ ที่จะมาใช้แทนประสบการณ์จริงได้ และในขณะนี้มีคนจำนวนเพิ่มมากขึ้นที่พยายามจะเข้าสู่อุตสาหกรรมด้านนี้มีการเปิดรับผู้เชี่ยวชาญเฉพาะทางและตำแหน่งงานระดับกลาง (mid-level) เพื่อทำให้เกิดความท้าทายในการสรรหาและการรักษาบุคคลากรเอาไว้
ในความเป็นจริงแล้ว องค์กรอาจต้องใช้เวลาในการเทรนต่างๆ ประมาณ 6 เดือน ถึง 1 ปีกว่าๆ ถึงได้นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์รายใหม่ที่มีความชำนาญ
ขณะที่อายุการใช้งานโดยทั่วไปของคนที่ทำงานด้านนี้จะเฉลี่ยอยู่ที่ประมาณ 2 ปี ซึ่งจะเหลือเพียงช่วงระยะเวลาสั้นๆ ที่พนักงานจะสามารถทำงานอย่างเต็มที่ให้กับบริษัท
จากการวิจัยในสหราชอาณาจักร พบว่า ผู้เชี่ยวชาญที่มีทักษะและประสบการณ์ในด้านนี้กำลังจะออกจากอุตสาหกรรมนี้ เนื่องจากความเหนื่อยหน่ายและความท้อแท้จากการทำงาน ทำให้จำนวนพนักงานรักษาความปลอดภัยทางไซเบอร์ลดลง 65,000 คนในปีที่แล้ว และจากการศึกษาเมื่อเร็ว ๆ นี้ พบว่า 1 ใน 3 ของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังวางแผนที่จะเปลี่ยนสายงาน
ตามรายงาน State of Cybersecurity 2022 ของ ISACA สาเหตุหลักที่ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยในโลกไซเบอร์ลาออก ได้แก่ 59% การถูกจ้างโดยบริษัทอื่น, 48%แรงจูงใจทางการเงินที่ไม่ดี, 47% โอกาสในการส่งเสริมและการพัฒนาที่จำกัด, 45% ระดับความเครียดที่สูงจากการทำงาน และ 34% การขาดการสนับสนุนด้านการจัดการ (Management Support)
เมื่อพูดถึงปัญหาเรื่องการขาดแคลนทักษะด้านไซเบอร์ซีเคียวริตี้ หลายคนมักจะนึกถึงองค์กรต่างๆ ที่กำลังเปิดรับตำแหน่งงานด้านความปลอดภัยทางไซเบอร์ที่ยังว่างอยู่ และนี่ถือว่าเป็นสิ่งที่ท้าทายไม่แพ้กันสำหรับบริษัทที่ให้บริการเฉพาะทางด้านการให้คำปรึกษาและการจัดการความปลอดภัยทางไซเบอร์
เพราะธุรกิจต่างๆ หันมาพึ่งพาบริการที่มีการจัดการจากบุคคลภายนอกมากขึ้น โดยเฉพาะองค์กรขนาดกลาง ซึ่งการว่าจ้างผู้ที่ให้บริการดูแลรักษาความปลอดภัยข้อมูลองค์กรและป้องกันภัยจากอินเทอร์เน็ต (Managed Security Service Provider หรือ MSSP) ซึ่งถือว่าเป็นโซลูชันที่ใช้งานได้จริงและมีการลงทุนน้อยกว่าเมื่อเทียบกันแล้ว
สำหรับ MSSP หลายๆ แห่ง กำลังประสบกับปัญหาการขาดแคลนทรัพยากร ส่งผลให้ต้นทุนในการจ้างงานสูงขึ้น สภาพแวดล้อมในการทำงานที่ไม่ดี พนักงานมีภาระงานที่มากเกินไป บวกกับชั่วโมงทำงานที่ยาวขึ้นและขาดการปฏิสัมพันธ์ของคนในองค์กรระหว่างทำงานคำถามคือ ผู้ให้บริการสามารถจัดการกับความเหนื่อยหน่ายนี้ได้อย่างไร
สิ่งสำคัญคือ ผู้ให้บริการต้องมองหาโมเดลที่มีข้อได้เปรียบด้านความปลอดภัยที่แท้จริง โดยไม่สร้างภาระโดยให้งานกับนักวิเคราะห์ที่มากเกินไป
เราเชื่อว่าการบรรลุเป้าหมายนี้จะทำให้ผู้ให้บริการความปลอดภัยทางไซเบอร์ยังคงเป็นที่สนใจของกลุ่มคนที่มีความรู้ความสามารถด้านไซเบอร์ซีเคียวริตี้ โดยอาจสร้างโมเดลที่สามารถตอบโจทย์การลดความเหนื่อยหน่ายของผู้เชี่ยวชาญด้านนี้ครับ